技術領域

本發明涉及網絡安全領域，特別涉及網絡安全態勢感知指標及計算。

背景技術

計算機網絡是通信技術和計算機技術發展到一定程度后相結合的產物，高度發展的網絡技術為人們帶來快速便捷的信息交互的同時，基于網絡的惡意攻擊和竊取行為也愈演愈烈。攻擊者利用網絡的快速傳播性和廣泛互聯性，大肆地破壞網絡基本性能、侵害用戶合法權益，威脅社會和國家的安全與利益，對傳統意義上的網絡安全措施提出了嚴峻的考驗。網絡入侵行為向著多元化、規模化、復雜化、持續化等趨勢發展，安全管理者越來越希望更好地了解其監管的網絡當前時刻和未來時刻的安全健康狀態，以便及時發現問題、采取預警措施，網絡安全態勢感知技術研究應運而生。

近年來，網絡安全態勢感知成為當前網絡安全界研究的熱點，這項研究取得的成果，在提高網絡的監控、應急響應能力和預測網絡的安全發展趨勢等方面都將起到重大的推動作用。

網絡安全態勢感知中，通過先驗知識或者數據挖掘技術，來構建網絡安全態勢感知的指標體系，并通過，諸如IDS入侵檢測系統、OpenVAS漏洞掃描工具、NetFlow流量分析等安全工具，來獲取相應的網絡安全數據，并對其進行過濾、去重和格式化等基本的預處理，為接下來的評估和預測準備充分的數據源。數據的收集是網絡安全態勢感知的第一步，也是態勢認知階段的主要任務，只有在獲取大量網絡安全信息的基礎上，才能盡量客觀全面地評估網絡的安全態勢。

網絡安全態勢感知是在大量網絡安全信息基礎上完成的，但由于網絡的復雜性和靈活性，獲取全面的網絡安全信息是不可能的，只能力求在選擇信息種類和數量上，力求能相對全面的反應當前網絡的真實狀態。采用何種方式，從何處獲取網絡安全信息，并對信息進行實時更新和相應的預處理，是網絡安全態勢感知在態勢認知階段的主要研究問題。

目前，一般從以下幾個方面獲取安全信息：通過拓撲自發現技術獲取網絡的拓撲信息；通過主動掃描和被動嗅探方式，獲取網絡的漏洞信息、狀態信息和運行信息等；通過對各安全工具、系統日志的采集和分析技術來獲取威脅攻擊信息等。

如發明名稱為“基于指標體系的大規模網絡安全態勢評估方法”，提供一種基于指標體系的大規模網絡安全態勢評估方法，包括：步驟1、確定網絡安全態勢需要分析的維度；步驟2、根據各維度確定網絡安全要素；步驟3、根據各網絡安全要素確定具體指標；所述維度、安全要素和具體指標為層次式評估模型的各層節點；步驟4、對所述層次式評估模型進行安全態勢評估，得到網絡安全態勢值。采用上述方法可以提高大規模網絡安全態勢評估的效率。該發明關注于提高評估網絡安全態勢的效率問題，并沒有關注于解決提出全面衡量網絡安全態勢的指標，不能有效的、實時的反映當前網絡安全態勢。

再如發明名稱為“多維網絡安全指標體系冗余度評估方法”，提供一種基于關聯度的多維網絡安全指標體系冗余度評估方法，通過采用利用兩序列對應數據項差值絕對值之和是否超過閾值判斷關聯性以及利用兩序列間差值絕對值低于閾值的對應數據項對所占的比例判斷關聯性來對關聯度進行分析，其計算量小，對數據存在形式要求寬泛，易于理解，便于廣泛應用。同時這些技術能夠有效的發現多維網絡安全指標體系各個維度間存在的關聯性。該發明關注網絡安全的指標體系的冗余問題，也不關注于網絡安全態勢感知中反應網絡安全狀態的指標及其計算，不反映網絡當前的安全狀態。

再如發明名稱為“多維網絡安全指標體系正確性評估方法”，提供一種多維網絡安全指標體系正確性評估方法，采用可接收區間內的相對偏差來避免其受樣本和系統誤差以及用戶主觀性的影響，使評估結果更符合實際情況。采用熵權法為各樣本賦權值有效的刻畫了各個樣本在指標體系合理性評估中所起的作用，既充分利用多維度多樣本指標體系計算結果又充分體現不同維度、不同樣本的重要性和對指標體系正確性評估貢獻度的不同，有效地評估了指標體系計算結果與預期值的相似性。該發明關注網絡安全的指標體系的正確性問題，并不關注于網絡安全態勢感知中反應網絡安全狀態的指標及其計算，也不反映網絡當前的安全狀態。

再如發明名稱為“一種多維網絡安全指標體系穩定性評估方法”，提供一種基于統計方法的多維網絡安全指標體系穩定性評估方法，從一個指標體系在多個不同樣本情況下是否都能得到正確評估結果的角度評估一個指標體系的好壞。尤其是針對不同維度源數據分布特征的差異采用分段抽樣的方式使得不同維度穩定性的評價更為公平合理。該發明關注網絡安全的指標體系的穩定性問題，并不關注網絡安全態勢感知中反應網絡安全狀態的指標及其計算，也不反映網絡當前的安全狀態。

發明內容